このページの内容
例:事前共有キーを使用した AutoVPN の設定
この例では、リモートピアを認証するためにVPNゲートウェイが使用する異なるIKE事前共有キーを設定する方法を示しています。同様に、VPNゲートウェイがリモートピアを認証するために使用するのと同じIKE事前共有キーを設定するには、以下の手順に従います。
AutoVPNのエンドツーエンド設定については、このトピックの他の例を参照してください。
異なるIKE事前共有キーを設定する
VPNゲートウェイがリモートピアの認証に使用する異なるIKE事前共有キーを設定するには、以下のタスクを実行します。
- AutoVPNハブを持つデバイスで、シードされたIKEポリシー用事前共有を設定します。
[edit] user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ascii-text
または
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal hexadecimal
次に例を示します。
user@host# set security ike policy IKE_POL seeded-pre-shared-key ascii-text ThisIsMySecretPreSharedkey
または
user@host# set security ike policy IKE_POL seeded-pre-shared-key hexadecimal 5468697349734d79536563726563745072655368617265646b6579
- 生成されたPSK(ステップ 2の「79e4ea39f5c06834a3c4c031e37c6de24d46798a」)をリモートピアデバイスのIKEポリシーで設定します。
[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text generated-psk
次に例を示します。
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text 79e4ea39f5c06834a3c4c031e37c6de24d46798a
- (オプション)IKE ID検証を迂回してすべてのIKE IDタイプを許可するには、ゲートウェイの[edit security ike gateway gateway_name dynamic]階層レベルで
general-ikeid設定ステートメントを設定します。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
結果
設定モードから、show securityコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
seeded-pre-shared-key ascii-text "$9$zoDln9pIEyWLN0BLNdboaFn/C0BRhSeM8"; ##SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity hostname hub.juniper.net;
external-interface lo0.0;
local-address 11.0.0.1;
version v2-only;
}
}
同じIKE事前共有キーを設定する
VPN ゲートウェイがリモートピアの認証に使用するのと同じ IKE 事前共有キーを設定するには、以下のタスクを実行します。
- AutoVPNハブを持つデバイスで共通の
pre-shared-keyfor IKEポリシーを設定します。[edit] user@host# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
次に例を示します。
user@host# # set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- リモートピアデバイスのIKEポリシーに共通
pre-shared-keyを設定します。[edit] user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ascii text
次に例を示します。
user@peer# set security ike policy IKE_POL pre-shared-key ascii-text ThisIsMySecretPreSharedkey
- (オプション)IKE ID 検証をバイパスしてすべての IKE ID タイプを許可するには、ゲートウェイ
general-ikeid[edit security ike gateway gateway_name dynamic] 階層レベルで設定ステートメントを設定します。[edit] user@host# set security ike gateway HUB_GW dynamic general-ikeid
結果
設定モードから、show securityコマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host> show security
ike {
proposal IKE_PROP {
authentication-method pre-shared-keys;
dh-group group14;
authentication-algorithm sha-256;
encryption-algorithm aes-256-cbc;
lifetime-seconds 750;
}
policy IKE_POL {
proposals IKE_PROP;
pre-shared-key ascii-text "$9$wo2oGk.569pDi9p0BSys24"; ## SECRET-DATA
}
gateway HUB_GW {
ike-policy IKE_POL;
dynamic {
general-ikeid;
ike-user-type group-ike-id;
}
local-identity user-at-hostname user1@juniper.net;
external-interface lo0;
local-address 11.0.0.1;
version v2-only;
}
}